CVE-2026-40683 in Keystoneالمعلومات

الملخص

بحسب VulDB • 08/05/2026

في OpenStack Keystone قبل الإصدار 28.0.1، لا يقوم واجهة الخلفية لهوية LDAP بتحويل سمة تمكين المستخدم (user enabled attribute) إلى قيمة منطقية (boolean) عندما تكون خيار التكوين user_enabled_invert مساويًا لـ False (القيمة الافتراضية). تقوم الطريقة _ldap_res_to_model في فئة UserApi بإجراء تحويل من سلسلة نصية إلى قيمة منطقية فقط عندما تكون user_enabled_invert مساوية لـ True. وعندما تكون False، تُستخدم القيمة النصية الخام المستلمة من LDAP (مثل "FALSE") مباشرة. وبما أن السلاسل النصية غير الفارغة تُعتبر قيمًا صحيحة (truthy) في لغة Python، فإن المستخدمين الذين تم وضع علامة "معطّل" (disabled) في LDAP تم اعتبارهم "مفعّلين" (enabled) بواسطة Keystone، مما مكنهم من المصادقة وتنفيذ الإجراءات. جميع التوزيعات التي تستخدم واجهة الخلفية لهوية LDAP بدون تعيين user_enabled_invert=True أو user_enabled_emulation تتأثر بهذه الثغرة.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

MITRE

حجز

14/04/2026

إفشاء

14/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357584

CPE

جاهز

CWE

CWE-843 (مؤكد)

CVSS

7.7 (CNA)

EPSS

0.00025

KEV

لا

النشاطات

منخفض جدًا

القطاع

Industry, Hospital, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40683
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40683
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40683/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!